Безагентская технология ESSO

Для подключения приложений Blitz Identity Provider использует безагентскую технологию однократного входа (Single Sign-On).

Традиционный подход требует установки специальной программы-агента на компьютер пользователя. При обращении пользователя к различным приложениям программа-агент перехватывает возникающие окна входа приложений и подставляет в них логины и пароли пользователя, вошедшего в домен.

Такой подход имеет ряд недостатков:

• нельзя использовать ПК, не включенные в домен организации, например, домашние ПК;
• нельзя использовать MacBook и Chromebook, так как программа-агент работает исключительно в ОС Windows и не поддерживает macOS и Linux;
• невозможно использовать планшеты и смартфоны, так как программа-агент не предусматривает работу в IOS/Android/Windows Phone;
• пользователь потенциально может входить в приложения в обход единого сервиса входа, если знает логин и пароль своей учетной записи в приложении и может воспользоваться ПК без установленной программы-агента или заблокировать его запуск. В таком случае вход в приложение останется незапротоколированным единым сервисом входа;
• обновление приложений может привести к нарушению работоспособности сервиса однократного входа, так как профили настроек подстановки логина/пароля могут сбиться в новой версии. Интеграция сервиса входа и приложений осуществляется с использованием недокументированных возможностей приложений.

Blitz Identity Provider использует современный способ реализации однократного входа, не требующий установки программы-агента. Однократный вход обеспечивается:

1. Протоколами федеративного доступа — SAML, OpenID Connect, WS-Federation. В этом случае вместо вывода собственного окна ввода логина и пароля приложение запрашивает идентификацию и аутентификацию пользователя у единого сервиса входа.
2. Если приложение не поддерживает протоколы федеративного доступа, то используется технология, позволяющая на веб-шлюзе организации перехватить форму логина/пароля и заполнить ее без участия пользователя и его компьютера.

В результате пользователь проходит идентификацию/аутентификацию однократно — или в процессе входа в домен, или с использованием единой веб-страницы входа.

Преимущества безагентского способа реализации однократного входа:

• пользователи могут использовать любые устройства доступа: ПК под управлением Windows/Linux/Mac OS X, устройства на IOS/Android/Windows Phone;
• все события доступа протоколируются: вход осуществляется исключительно посредством единого сервиса, получить доступ к приложению в обход единого сервиса входа невозможно;
• возможно предоставить доступ к приложениям сотрудникам сторонних организаций и фрилансерам без необходимости включения их ПК в домен.